Debian/Ubuntu에 구성 서버 방화벽(CSF)을 설치하는 방법
ConfigServer 및 보안 방화벽(약어로 CSF)은 Linux 시스템용으로 설계된 오픈 소스 고급 방화벽입니다. 이는 방화벽의 기본 기능을 제공할 뿐만 아니라 로그인/침입 감지, 익스플로잇 검사, 핑 오브 데스 보호 등과 같은 다양한 추가 기능도 제공합니다.
또한 cPanel, Webmin, Vesta CP, CyberPanel 및 DirectAdmin과 같이 널리 사용되는 제어판에 대한 UI 통합도 제공합니다. ConfigServer 공식 웹사이트에서 지원되는 기능 및 운영 체제의 전체 목록을 확인할 수 있습니다.
이 가이드에서는 Debian 및 Ubuntu에서 ConfigServer 보안 및 방화벽(CSF)을 설치하고 구성하는 과정을 안내합니다. .
1단계: Debian 및 Ubuntu에 CSF 방화벽 설치
먼저, CSF 방화벽 설치를 시작하기 전에 몇 가지 종속성을 설치해야 합니다. 터미널에서 패키지 색인을 업데이트합니다.
sudo apt update
다음으로, 표시된 대로 종속성을 설치합니다.
sudo apt install wget libio-socket-ssl-perl git perl iptables libnet-libidn-perl libcrypt-ssleay-perl libio-socket-inet6-perl libsocket6-perl sendmail dnsutils unzip
이를 해결하면 이제 다음 단계로 진행할 수 있습니다.
CSF는 기본 Debian 및 Ubuntu 저장소에 포함되어 있지 않으므로 수동으로 설치해야 합니다. 계속 진행하려면 다음 wget 명령을 사용하여 모든 설치 파일이 포함된 CSF tarball 파일을 다운로드하세요.
wget http://download.configserver.com/csf.tgz
그러면 csf.tgz라는 압축 파일이 다운로드됩니다.
다음으로 압축 파일을 추출합니다.
tar -xvzf csf.tgz
그러면 csf라는 폴더가 생성됩니다.
ls -l
다음으로 csf 폴더로 이동합니다.
cd csf
그런 다음 표시된 설치 스크립트를 실행하여 CSF 방화벽을 설치합니다.
sudo bash install.sh
모든 것이 제대로 진행되었다면 표시된 대로 출력되어야 합니다.
이 시점에서 CSF가 설치됩니다. 그러나 필요한 iptables가 로드되었는지 확인해야 합니다. 이를 달성하려면 다음 명령을 실행하십시오.
sudo perl /usr/local/csf/bin/csftest.pl
2단계: Debian 및 Ubuntu에서 CSF 방화벽 구성
몇 가지 추가 구성이 필요합니다. 다음으로 CSF를 활성화하려면 몇 가지 설정을 수정해야 합니다. 따라서 csf.conf 구성 파일로 이동하세요.
sudo nano /etc/csf/csf.conf
아래와 같이 TESTING 지시문을 “1”에서 “0”으로 편집합니다.
TESTING = "0"
그런 다음 RESTRICT_SYSLOG 지시문을 “3”으로 설정하여 rsyslog/syslog 액세스를 RESTRICT_SYSLOG_GROUP 구성원에게만 제한합니다.
RESTRICT_SYSLOG = "3"
다음으로 TCP_IN, TCP_OUT, UDP_IN<을 찾아 TCP 및 UDP 포트를 열 수 있습니다. 및 UDP_OUT 지시문.
기본적으로 다음 포트가 열려 있습니다.
TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53,80,443"
UDP_OUT = "20,21,53,113,123"
모든 포트를 열 필요는 없으며, 모범 서버 사례에서는 사용 중인 포트만 열 것을 요구합니다. 불필요한 포트를 모두 제거하고 시스템에서 실행 중인 서비스에 사용되는 포트는 그대로 두는 것이 좋습니다.
필요한 포트 지정을 완료한 후 표시된 대로 CSF를 다시 로드하세요.
sudo csf -r
서버에 정의된 모든 IP 테이블 규칙을 나열하려면 다음 명령을 실행하십시오.
sudo csf -l
다음과 같이 시작 시 CSF 방화벽을 시작하고 활성화할 수 있습니다.
sudo systemctl start csf
sudo systemctl enable csf
그런 다음 실제로 방화벽이 실행되고 있는지 확인합니다.
sudo systemctl status csf
3단계: CSF 방화벽에서 IP 주소 차단 및 허용
방화벽의 주요 기능 중 하나는 IP 주소가 서버에 액세스하는 것을 허용하거나 차단하는 기능입니다. CSF를 사용하면 다음 구성 파일을 수정하여 IP 주소를 화이트리스트(허용), 블랙리스트(거부) 또는 무시할 수 있습니다.
- csf.allow
- csf.거부
- csf.무시
CSF에서 IP 주소 차단
IP 주소를 차단하려면 csf.deny 구성 파일에 액세스하면 됩니다.
sudo nano /etc/csf/csf.deny
그런 다음 차단할 IP 주소를 지정합니다. 다음과 같이 IP 주소를 한 줄씩 지정할 수 있습니다.
192.168.100.50
192.168.100.120
또는 CIDR 표기법을 사용하여 전체 서브넷을 차단할 수 있습니다.
192.168.100.0/24
CSF에서 IP 주소 허용
Iptables를 통해 IP 주소를 허용하고 모든 필터 또는 차단에서 제외하려면 csf.allow 구성 파일을 편집하세요.
sudo nano /etc/csf/csf.allow
한 줄에 IP 주소를 나열하거나 IP를 차단할 때 이전에 설명한 대로 CIDR 주소 지정을 사용할 수 있습니다.
참고: IP 주소는 csf.deny 구성 파일에 명시적으로 정의된 경우에도 허용됩니다. IP 주소가 차단되거나 블랙리스트에 추가되었는지 확인하려면 해당 주소가 csf.allow 파일에 나열되어 있지 않은지 확인하세요.
CSF에서 IP 주소 제외
또한 CSF는 IP 테이블이나 필터에서 IP 주소를 제외하는 기능을 제공합니다. csf.ignore 파일의 모든 IP 주소는 iptables 필터에서 제외됩니다. csf.deny 파일에 지정된 경우에만 차단할 수 있습니다.
필터에서 IP 주소를 제외하려면 csf.ignore 파일에 액세스하세요.
sudo nano /etc/csf/csf.ignore
다시 한 번 IP를 한 줄씩 나열하거나 CIDR 표기법을 사용할 수 있습니다.
결론
이것으로 오늘의 가이드를 마무리합니다. 이제 문제 없이 CSF 방화벽을 설치하고 구성할 수 있기를 바랍니다.